5.5.2  安全需求实现审核

（1）活动目标 审核项目需求阶段提出安全需求的实现情况。

（2）参与角色 研发风险管控部门、安全专家、信息安全经理、信息安全督导员。

（3）活动输入 含有安全需求的项目需求规格说明书、含有安全设计的项目设计规格说明书、信息系统安全设计描述文件。

（4）活动描述 本活动主要包括以下子活动内容：

1）安全需求实现审核申请。在项目编码工作结束后，由信息安全经理向研发风险管控部门申请对项目安全需求实现情况进行审核。

2）成立安全需求实现审核小组。研发风险管控部门根据项目特点，从安全专家团队中抽取专家组成安全需求实现审核小组，负责对该项目的安全需求实现情况进行评审。

3）进行安全需求实现审核。由安全需求实现审核小组对该项目每一项安全需求的实现情况进行审核，提出审核意见和改进建议。安全需求实现审核由信息安全督导员组织，其形式可以是会审，也可以是函审。

4）问题整改和复核。对于审核发现问题，由信息安全经理组织制定整改方案，在项目投产上线前完成整改，并提交安全需求实现审核小组进行确认。无法完成整改的，由信息安全经理说明原因并提交风险缓释措施。

5）形成审核报告。信息安全督导员根据安全需求实现审核情况起草安全需求实现审核报告，经安全需求实现审核小组确认后发送项目研发部门、研发风险管控部门领导。

（5）活动输出 安全需求实现审核报告。